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摘 要 : 无 证 书签 密 体 制 继承 了 基于 身份 签 密 体 制 无 须 使 用 公 钥 证 书 的 特点 ， 
一 定 优越 性 。 针 对 已 有 的 无 证 书签 密 方案 计算 效率 低 、 实 全 性 


对 运算 的 无 证 书签 


在 保证 安全 性 的 同时 ， 
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可 证 安全 的 无 对 运算 
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该 方案 不 使 用 双 线 性 对 和 指数 运算 ， 效 率 较 高 。 
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又 对 其 密 钥 托管 问题 进 
差 等 缺点 ， 基 于 一 种 安全 
签 密 方 案 。 采 用 将 哈 希 函数 与 用 户 身 份 绑 定 以 及 公 钥 与 私 钥 相 结合 生成 新 密 钥 的 方法 进 
机 预言 模型 下 基于 计算 椭圆 曲线 上 的 高 散 对 数 困 难 问题 证 明了 方案 的 机 密 性 和 不 可 伪造 性 。 并 与 已 往 方案 进 


行 了 改进 ， 具 有 


的 签名 方案 ， 提 出 一 类 新 的 无 


行 构 造 。 在 随 
行 对 比 ， 


Certificateless signcryption Scheme of verifiable security without pairing 
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(College of Software Liaoning Technical University, Huludao Liaoning 125105, China) 


Abstract: The certificateless signcryption Scheme effectively solved the key escrow problem in identity based Signcryption 
scheme while kept its certificate-free property. Aiming at the low computation efficiency and poor security of the existing 
certificateless signcryption scheme, this paper proposed a new certificateless signcryption Scheme without pairings based on a 
sort of secure signature scheme. The scheme used binding the hash functions with identities of users and the method of combing 
the public and private key to generate a new key. The scheme was confidential and unforgeable based on the hard problem of 
discrete logarithm on random oracle model. the 


the elliptic curve under the Compared with existing schemes, 


proposed method improves the efficiency without using bilinear pairing and exponential operation under the secure situation. 
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0 引言 管理 困难 等 问题 。 但 由 于 它 的 私 钥 完全 由 私 钥 生 成 中 心 (private 
key generator，PKG ) 提供 , 则 出 现 了 密 钥 托 管 问题 , 即 PKG 可 
机 密 性 和 认证 性 是 密码 学 中 衡量 信息 是 否 安全 的 两 个 重要 以 获得 任意 用 户 私 铀 ， 伪 造成 任意 用 户 对 信息 进行 解密 和 验证 
指标 ,为 了 达到 这 一 标准 ,传统 算法 是 先 将 信息 进行 数字 签名 ， 签名 而 不 被 发 现 ， 就 避免 不 了 会 引起 安全 问题 。 后 来 有 人 又 将 
然后 加 密 。 但 这 种 方法 的 计算 量 是 两 者 之 和 ， 效 率 较 低 。 为 解 无 证 书 密码 体制 与 签 密 体 制 相 结合 ， 形 成 了 无 证 书签 密 
决 这 个 问题 ，ZhengL 在 1997 年 首次 提出 签 密 这 一 概念 。 它 能 (certificateless signcryption，CL-SC ) 体制 ， 它 同时 解决 了 基于 
在 一 个 逻辑 步 又 内 同时 实现 签名 和 加 密 两 项 功能 ， 并 且 与 传统 PKI 签 密 方案 中 的 公 角 证书 问题 和 基于 身份 的 签 密 方案 中 的 密 
算法 相 比 ， 计 算 量 和 通信 成 本 都 要 更 低 。 此 后 ， 签 密 技 术 作为 钥 托管 问题 。2008 年 ， 首 个 CL-SC 方案 外 被 提出 ， 后 来 被 验证 
热点 被 广泛 研究 。 其 不 能 抵抗 扩展 不 可 伪造 攻击 。 随 后 许多 CL-SC 方案 被 提出 ， 
随 着 签 密 技术 不 断 发 展 ， 基 于 公 钥 基础 设施 (public key 其 中 一 部 分 采用 了 双 线 性 对 运算 ， 双 线性 对 运算 复杂 性 高 ， 计 
infrastructure，PKI) 的 签 密 方案 被 提出 ， 基 于 PKI 的 签 密 方案 算 量 大 。 因 此 ，Selvi 等 人 外 提出 了 一 个 无 对 运算 的 CL-SC 方 
中 公 钥 证 书 解决 了 签 密 方案 易 受 “ 公 钥 蔡 换 ”攻击 的 问题 ， 通 案 ， 并 证 明了 该 方案 的 安全 性 。 然 而 在 该 方案 中 多 次 运用 指数 
过 检验 证 书 的 合法 性 来 辨别 公 钥 的 正确 性 。 但 公 钥 证 书 的 颁发 、 运算 , 计算 效率 依然 不 高 。 后 来 朱 辉 等 人 多 和 刘 文 浩 等 癸 也 分 
验证 \ 管 理 繁杂 和 计算 量 大 等 问题 抑制 了 该 方案 的 发 展 ,此 后 ， 别提 出 了 无 对 运算 的 CL-SC 方案 ， 但 都 已 被 证 明 是 不 安全 的 。 
基于 身份 的 签 密 方案 被 提出 ， 它 取消 了 公 钥 证 书 ， 避 免 了 证 书 本 文 在 汤 永 利 等 人 [ 跨 构 造 的 高 效 、 安 全 的 签名 方案 上 ， 利 
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] 发 送 者 的 私 钥 与 接收 者 的 公 钥 相 结 合作 为 加 密 密 钥 ， 发 送 者 
的 公 钥 与 接收 者 的 私 钥 相 结合 作为 解密 密 钥 的 方法 ， 构 造 出 一 
种 无 对 运算 的 CL-SC 方案 , 并 在 随机 预言 模型 下 证 明 该 方案 的 
安全 性 ， 与 近年 的 几 种 签 密 方案 进行 对 照 ， 其 性 能 更 优 。 


ae 


1 ”预备 知识 


1.1 数学 困难 问题 
定义 在 所 (表示 有 P 个 元 素 的 有 限 域 , P 为 素数 且 p>3) 


上 的 椭圆 曲线 方程 为 
y=x tatb pe 已 
判别 式 为 
4a +27b’ #0modp 

椭圆 曲线 上 的 所 有 解 与 一 个 无 穷 远 点 0 构成 的 一 个 集合 用 
E(F,) 来 表示 ， 即 : E(F,)={(w%,y)|x,yeP,} ， 且 满足 方程 式 
02 = +ear+ 引 U(O) ，E(R,) 上 点 的 数目 用 表示 , 成 为 椭圆 曲线 
的 阶 。 

椭圆 曲线 上 的 离散 对 数 问 题 : 

已 知 椭圆 曲线 £(F,) ， 阶 为 4 的 点 PeE(F,)，Qe<P>， 若 


整数 xs[0n-1] ， 使 得 Q=[x]P 。 
1.2 CL-SC 方案 定义 

一 个 CL-SC 方案 
KGC)， 发 送 者 DB ， 接 收 者 /Dj 三 个 合法 参与 者 参与 。 

一 个 CL-SC 方案 通常 由 下 列 几 种 算法 组 成 ; 

a) 系 统 参数 建立 。 由 KGC 运行 初始 化 系统 。 该 算法 将 安全 
参数 上 作为 输入 ，KGC 选择 主 密 钥 s， 输 出 系统 参数 params。 
且 由 KGC 保密 ss， 公开 params。 


密 钥 生成 中 心 (key generation center， 


b) 用 户 部 分 密 钥 生成 。 该 算法 由 KGC 完成 。 将 某 个 用 户 的 
身份 !D  、s 、params 作为 输入 ，KGC 生成 该 用 户 的 部 分 私 钥 


D, 和 部 分 公 钥 RR ， 并 返回 给 用 户 。 

0c) 用 户 秘 密 值 生 成 。 该 算法 由 用 户 独立 运行 , 将 1D 、params 
作为 输入 , 输出 一 个 秘密 值 ez 作为 长 期 私 钥 , 并 且 该 值 对 于 
KGC 是 保密 的 。 

dj) 用 户 私 钥 生成 。 该 算法 由 每 个 用 户 运 行 一 次 。 它 将 ID、 
;作为 输入 ， 并 为 该 用 户 生 成 完整 的 私 钥 SK; =(%,D) 。 

e) 法 用 户 公 钥 生 成 。 该 算法 由 用 户 运 行 。 它 将 ID 、params、 
R 以 及 元 作为 输入 ,输出 用 户 公 钥 PK =(Xi,R) 。 得 到 的 公 钥 是 
公开 的 。 

人 ) 签 密 (signcrypt)。 输 入 params、 明 文 消息 m、 签 密 者 身份 
ID, 及 其 私 钥 SK,; 、 接 收 者 身份 D; 及 其 公 钥 PE ,输出 密 文 并 
发 送 给 接收 方 。 

是 解 签 密 (unsigncrypt)。 输 入 params、5o、ID、PK,、D, 
以 及 5K; ， 对 解 签 密 获 得 的 消息 m 进行 验证 ， 如 果 通 过 ， 则 用 
户 输 出 明文 消息 mw， 否 则 拒 收 消息 m。 

CL-SC 方案 组 成 及 通信 模型 也 可 由 


己 
二 


现 


1 表示 。 
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] 站 二 
陈 ， 虹 ， 等 : 可 证 安全 的 无 对 运算 的 无 证 书签 密 方 案 


公开 信道 


发 送 者 ID; 
公 钥 | 私 钥 SKi 私 钥 SK 
不 
wn AE 秘密 值 x 
params 
部 分 密 钥 D 部 分 密 钥 Di 
一 一 KGC 


图 1 CL-SC 方案 组 成 及 通信 模型 


己 的 私 钥 以 及 发 送 者 的 公 钥 对 明文 消息 
密生 成 密 文 c ， 并 将 密 文 通过 公开 信道 发 送 给 接收 者 
1D; 。 接 收 者 利用 自己 的 私 钥 以 及 发 送 者 的 公 钥 对 密 文 c 进行 
解 签 密 , 若 所 获得 的 明文 能 通过 验证 ， 则 接收 。 发 送 者 和 接收 者 
的 私 钥 都 需要 一 部 分 由 KGC 提供 ， 一 部 分 为 自己 生成 的 秘密 
值 。 


蛤 巩 
与 
Ea 
于 


2 ”新 的 无 对 运算 的 CL-SC 方案 


2.1 方案 描述 

本 文 构造 的 无 对 运算 的 CL-SC 方案 的 具体 过 程 如 下 : 

a) 系 统 参数 建立 输入 参数 ,选择 一 个 1 位 的 大 质数 7 了, 设 
G 为 椭圆 曲线 £(7,) 的 一 个 循环 群 ，? 为 G 的 一 个 生成 元 。 选 
择 3 个 安全 的 哈 希 函数 有 :{0,1} 一 2 ， 
及:Zx2 一 DZ 。KGC 选择 主 密 钥 * ,并 计算 主公 钥 : Pw=sP。 
KGC 保密 主 密 钥 s ， 人 公开 系统 参数 
params = {p,q,G, P,P,,, 

b) 用 户 部 分 密 钥 生成 。 给 定 用 户 身份 DB ，KGC 随机 选择 
eZ ,计算 及 =iP,D=%+sH1(1D,,R), 则 生成 用 户 的 部 分 私 钥 D， 
和 部 分 公 钥 ,并 将 其 返回 给 用 户 。 

oc) 秘密 值 生成 。 随 机 选择 ez 作为 用 户 的 长 期 私 钥 。 

d) 用 户 私 钥 生成 。 生 成 对 应 的 私 钥 3;,D) 。 因 此 , 用户 A 的 
私 钥 为 SK = CD)， 用 户 B 的 私 钥 为 SKs = Co,Ds) 。 

6) 用户 公 钥 生 成 。 计算 X=xP ,生成 公 钥 (Xi,R) 。 所 以 用 户 
A 的 公 钥 为 PK,=(X,R)。 用 户 B 的 公 钥 为 PKs=(CXs,Rs)。 然 后 计 
算 等 式 避 +H(D,,R)Ps= DP 是 否 成 立 ,。 若 成 立 , 则 KGC 分 配 的 
部 分 私 钥 符 合 规 则 。 

耻 签 密 。 当 发 送 者 A 对 明文 m 进行 签 密 发 送 给 接收 者 B 时 ， 
执行 以 下 步 又 ; 

(a) 用 户 A 随机 选取 +s2Z, ,计算 了 =zP。 

(人 b) 计 算 太 = 忌 CDs,R) ,b=H,(m,T,R, XA),u=t+xh + Dh 

(计算 天 =2Xe ， 瑟 =(R+PonD ， 内 = 瓦 (人 ,有 )， 加 密 明 文 
c=V, Om., 

(d) 用 户 A 向 用 户 B 发 送 签 密 密 文 c=(Cc 凡 0 。 

是 解 签 密 。 用 户 B 收 到 =(c 风 20 后 ， 执 行 以 下 步 又， 

人) 计算 站 = 豆 GDuR) 和 了 =uP-Xsh-Rh -Phh 。 


(b) 计 算 Vs = Hs(Xaxs, (Ra + Psh)D;) ,恢复 明文 m=Vs Dc 。 


H,:{0,1} >2, ， 
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(0) 计 算 及 =Gm,T,R4,X4) , 若 且 = 万 


拒 接 。 


2.2 正确 性 证 明 


新 方案 
因为 


可 知 ， 
加 密 ， 用户 


的 正确 性 


分 析 如 下 : 


， 则 输出 m， 


Va = Hs(XaXs, (Rs + Ph)D,) 


= H,(xaxsP, (rs + sh )PD,) 


= H;(xaxsP, DADsP) 


Vs = Hs(Xaxs, (Rs + Psh)D;) 


=H,(xaxsP, (ra + sh )PD;,) 


=H,(xaxsP, DDsP) 


V =V 


s。 由 于 用 户 A 


B 通过 


所 以 可 以 确保 用 户 最 


因为 


所 以 万 =H,(m,T,R,,X,) = ， 


m 能 够 通 


过 验证 。 


T =uP—X,h— 


[一 全 已 
号 有 


=(t+xh + Dl)P- Xah— 
=[T +xahP+rnhP+sH (ID,, RP] 


一 入 一 


= 了 


3 ”安全 性 分 析 


3.1 


安全 性 定义 
判定 一 个 签 密 方案 安全 怕 


Rh a Pshh, 


选择 密 文 攻击 
选择 消息 攻 


UD 


| 
LIT 


CL-SC 方案 通 


I、game]l、 


如 黎 不 可 区 


gamelll、gamelV ) 。 


分 性 


不 能 拥有 KGC 产 各 
力 。 对 于 第 二 类 攻击 者 4 而 
钥 ， 则 具有 构造 任意 合法 用 


用 户 公 钥 。 


Rah iit Pshh, 
A Pshh, 


和 和 
对 于 第 


若 不 成 立 则 


计算 m=Vs @c 对 密 文 进行 解密 ， 
得 到 正确 的 明文 。 


的 主 密 钥 ， 但 具有 车 


文献 [8] 
类 攻击 者 4 


为 例 ， 


下 的 示意 图 ， 


如 图 


L 体 介绍 
给 出 在 适应 性 
2、3 所 示 。 


主 密 钥 s) 


Params 


第 一 阶段 询问 


j 言 ， 它 能 够 获 


Al 


返回 查询 值 


图 2 攻击 者 为 4 的 适应 1 


其 中 Cc 为 该 游戏 中 的 挑战 者 ， 
将 生成 的 params 发 送 给 攻击 者 4 ， 
两 个 阶段 , 第 一 
公 钥 查询 、 
查询 值 。 


查询 、 
按照 要 求 返 蕊 
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首先 C 运 行 系统 参数 建立 算法 ， 
保密 主 密 钥 s。 询 问 分 为 
阶段 包括 Hash 函数 查询 、 部 分 密 钥 查 询 、 私 钥 
公 钥 蔡 换 查询 、 签 密 查 询 、 解 签 密 查 询 ，C 
4 选择 两 个 想 挑战 的 用 户 4D,1D,) 和 两 


个 等 长 明文 0w,m) 发 送 给 c ,其 中 未 对 1D, 进 
选 其 中 一 明文 sf{0.0) 进行 签 密 ， 
文 c 给 4。4 进行 第 二 阶段 询问 ， 
询 ， 也 不 可 以 执行 
可 5b 给 C。 若 b=b， 则 


钥 查 询 。C 任 


对 于 攻击 者 为 4 的 适应 性 


通过 计算 c=WV@m 对 明文 进行 


说 明 可 以 确保 解密 获得 的 消息 


先 择 消息 


生 选 择 密 文 攻击 模拟 示意 图 


于 VWV=Vs, 


的 基本 条 件 是 至 少 满足 机 密 性 即 
(IND-CCA2 ) 逢 
下 不 可 伪造 性 (EUF-CMA)。 根 据 文献 [7] 论 述 ， 
通常 面 对 两 类 攻击 者 4、 


0 不 可 伪造 性 即 


四 类 模拟 游戏 (game 
一 类 攻击 者 4 而 言 ， 
换 任意 用 户 公 钥 的 能 
取 KGC 生成 的 主 密 
户 的 部 分 私 钥 的 能 力 ， 但 无 法 蔡 换 


了 四 类 模拟 游戏 的 定义 ， 本 文 主要 以 第 一 
选择 密 文 攻击 和 选 


息 攻 击 


参数 建立 算法 ， 


了 过 部 分 密 钥 和 私 
然后 返回 密 


ry 


但 不 可 以 执行 ce 的 解 签 密 碍 
1D, 的 部 分 密 钥 查询 和 私 钥 查询 ， 最 后 4 返 
4 在 游戏 中 获胜 。 
选择 密 文 攻 击 而 言 ，C 运行 系统 
将 生成 的 params 和 s 都 发 送 给 4, 。 要求 在 询问 


阶段 不 允许 进行 公 钥 蔡 


换 查 询 ， 并 且 在 第 二 阶段 的 询问 中 ， 也 


不 允许 对 挑战 用 


户 进行 部 分 私 钥 提 取 查 询 和 对 挑战 消息 进行 签 


密 或 解 签 密 查 询 ， 


C 【保密 


图 3 攻击 者 为 4 的 选择 消息 攻击 模拟 示意 


其 他 与 在 4 下 攻击 过 程 类 似 。 


E 密 钥 s) Ai 
params 


对 


挑战 者 C 运行 系统 参数 建立 算法 , 将 生成 的 params 发 送 给 


4 ， 并 保密 * 。 


攻击 游戏 中 第 一 阶段 询问 相同 。 伪 造 阶 段 ， 
(1D,,1D,,0") ， 万 为 发 送 者 ， 


对 明文 m 的 答 
询 ， 


4 向 C 发 起 询问 ， 


询问 阶段 与 适应 性 选择 密 文 
和 向 C 发 送 元 组 
ID, 为 接收 者 ， Or” 为 A 从 ID, 到 ID, 


密 值 ， 其 中 在 询问 阶段 未 执行 过 该 元 组 的 签 密 查 
日 也 未 执行 过 1D, 的 部 分 私 钥 查 询 。 经 过 验证 ， 若 c 是 


对 (1D,,1D,,m) 的 有 效 签 密 ， 
对 于 攻击 者 为 4 的 选择 消息 攻击 而 言 ，C 运行 系统 参数 到 
生成 


立 算法 , 将 
公 钥 蔡 换 查询 ， 
查询 也 未 进行 过 


则 4 赢得 游戏 。 


站 


的 params 和 s 发 送 给 4。 在 询问 阶段 ， 不 进 和 
且 在 伪造 阶段 ， 要 求 挑战 用 户 未 进行 过 签 
部 分 私 钥 提取 查询 ， 其 他 与 在 和 4 下 的 选择 消 ; 


dl 


尊 联 


攻击 过 程 类 似 。 


3.2 机密 性 分 析 


若 攻 
加 密 密 钥 内 。 


击 者 想 从 密 文 c= (ca,0 中 获得 明文 ,就 一 定 要 计算 出 
若 想 获得 则 须知 道 
二 类 攻击 者 4 攻击 下 ， 
X 中 求 出 男 一 部 分 私 钥 x%， 则 面临 解 离 散 对 数 问题 ， 


用 户 A 的 私 钥 ， 即 使 在 第 
部 分 私 钥 D, ， 若 想 从 
从 而 无 法 


恶意 的 KGC 仅 


获得 加 密 密 钥 ， 


若 能 计算 出 V 同样 可 
出 也 的 完整 私 钥 ， 同 样 男 


无 法 恢复 密 文 。 另 一 方 男 ， 由 于 Va =Vs, 进而 
以 破解 密 文 。 同 理 若 想 求 出 Vs 则 必须 计算 
j 临 解 离散 对 数 问题 。 


该 方案 的 机 密 性 详 


AS 


证 明 如 


引 理 1 攻击 者 4 下 的 机 密 性 。 在 随机 预言 模型 且 ECDLP 
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难 解 的 情况 下 ， 在 概率 多 项 式 时 间 内 存在 敌手 4 以 < 的 优势 赢 


得 游 戏 


Ny 


IND-CCA2 ， 


则 存在 一 个 区 分 者 C 以 


uccheo > pA A [- 力 ] 的 概率 解决 ECDLP 困难 问题 。 


证 明 


4《〈 第 


| 酒 


params 给 4 。 


当 C 接收 到 4 对 马 CD,Ro) 的 询问 , 若 该 列表 中 存在 则 返 下 
4 ， 若 不 存在 则 随机 选择 hez 返 下 


(mT, Rip, X ips) ， 当 


在 则 返 下 


2) 询 问 阶 段 


若 想 攻破 本 文 的 CL-SC 方案 , 就 必须 存在 算法 C 利 
类 攻击 者 ) 攻击 解决 ECDLP 问题 ， 
J a 求 的 值 。 

1) 初 始 化 C 运行 系统 参数 建立 算法 ， 


即 已 知 (p,ap) ， 


保存 * ， 发 送 


a) Hl 询问 : C 维护 列表 内 ,初始 为 空 ,格式 为 (0D,Rj,Dp,h) ， 


b) 8; 询问 : C 维护 列表 


用 


当 C 接 收 到 丸 对 ,的 询 


车 JD=1D', 则 C 终 止 ; 若 不 等 , 则 查询 列表 三 ,中 
若 有 返回 Dr 给 4 ， 若 没 


当 究 
在 对 应 项 则 返 匠 


| 表 Ly, 中。 


给 


， 并 加 入 到 列表 中。 
格式 为 


Lu, » 初始 为 空 ， 


C 接 收 到 对 石 的 询问 时 ， 若 该 列表 中 存 
hb ， 若 不 存在 则 随机 选择 h ez 返回 给 和 44， 并 加 入 到 


c) 8; 询问 : C 维护 列表 Ls, » 初始 为 空 ， 格式 为 (K, K,,h,), 


问 时 ， 若 列表 中 存在 则 返 区 
在 则 随机 选择 及 ez 返回 给 4 ， 并 加 入 到 列表 心 中 。 


久 ， 若 不 存 


d) 部 分 私 钥 询 问 : 当 C 接收 4 对 用 户 症 的 部 分 私 钥 询问 时 ， 


是 否 有 对 应 项 ， 


9) 公 钥 询 问 : C 维护 列表 Lx ， 


有 则 先进 行 马 询问 ， 再 返回 。 


接收 到 4 对 某 一 半 的 公 钥 询 


初始 为 空 , 格式 为 0D,xp,Xip) 。 
问 时 ， 先 进行 5 查询 ， 若 存 


Rp 给 A; 若 不 存在 则 先进 行 H, 询 问 ， 月 i 


C 再 查 


ee 


询 Lx ， 列 表 中 车 存在 对 应 


在 ， 则 选 生意 随机 数 Xp eZ, ? 计算 Xp= XpP, 再 返 a 


把 该 项 加 入 到 列表 Lox Ho 


人 D 公 钥 蔡 换 询问 : C 接收 到 4 


若 成 立 则 返回 m 否则 


查 表 5, 中 是 否 
终止 ， 若 1D, =1D" 则 终 模拟 。 

当 上 述 模 拟 结束 ，4 挑选 挑战 的 两 个 用 户 身 份 4D,1D,) 和 
等 长 的 明文 ww,m) 发 送 给 C， 若 1D, x 1D" 则 终止 ， 否 则 C 任意 
选择 be{01} ，resZ ， 计算 T=rP， 
R=H(m,T,R,X) ， w=t+oh+Dh ， 


解密 消息 m=V @e 


h=H(D,,R,) ， 
证 辣 


V,=H,(xX,,(R, + Psh)D,) ， C=V,@m, 最 后 将 o =(c,h,u ) 发 送 给 


A 。 
4 可 以 继续 询问 ， 但 不 可 以 执行 ID’ 的 部 分 私 钥 和 对 0 的 
解 签 密 查 询 ， 最 后 输出 4 对 4b 的 猜测 。。 丸 若 未 选择 1D, 作为 
挑战 用 户 , 进行 过 ID’ 部 分 私 钥 提 取 询 问 ,进行 过 V 的 ;询问 ， 
则 挑战 失败 。 假 设 4 在 多 项 式 时 间 内 至 多 进行 yw 次 部 分 私 钥 


询问 , q; 次 H, 查询 。 因 此 4 选择 1D, 为 挑战 用 


户 的 概率 是 发， 


4 未 进行 过 部 分 私 钥 查询 的 概率 至 少 是 |!- 攻 】 ， 么 未 进行 过 


”的 岂 询问 的 概率 人 - 和] ， 则 c 成 功 解决 ECDLP 的 概率 为 


AANSA 证 毕 。 
引 理 2 攻击 者 4 下 的 机 密 性 ,在 随机 预言 模型 且 ECDLP 
难 解 的 情况 下 ， 在 概率 多 项 式 时 间 内 存在 敌手 4 以 = 的 优势 赢 
得 游戏 IND-CCA2 ， 则 存在 一 个 区 分 者 C 以 
Succa BAA (- 罗 


证 明 若 想 攻破 本 文 的 CL-SC 方案 , 就 必须 存在 算法 C 利 


Succ 


的 概率 解决 ECDLP 困难 问题 。 


返回 。 
项 ， 则 返回 X 给 4 ， 若 不 存 
Xnp 给 4。 


关于 (1D,Xi) 的 公 钥 替换 询问 


时 ，C 查找 Lx 列表 ， 若 存在 对 应 项 ， 则 用 Xi 蔡 换 Xi 并 令 


Xip 


SL 


是 私有 秘密 值 询 问 : 当 C 接 收 到 4 对 某 一 1D 的 私有 秘密 值 


询 问 时 ， C 查询 Zak ， 若 存 在 相应 项 且 Xp 有 值 ， 则 返 日 该 Xp 给 


4， 若 如 = 上 ， 则 表示 公 钥 已 被 蔡 换 ， 则 C 返 


ID, 1D" ,，C 查询 
查询 查 出 1D, 的 公 钥 ， 
出 密 文 


送 者 身份 ， 


(UD,,R,,D,,h) 、 


I 


h) 签 密 询问 ， 4 选择 (m,1D,,1D,) 进行 符 密 询问 ， 其 中 1D, 为 


返回 给 4 。 


1D,; 为 接收 者 。 C 接收 到 该 询问 后 进行 如 下 处 理 : 若 
1D, #1D' 且 症 , 公 钥 未 被 蔡 换 ， 则 C 通过 相关 询问 并 按照 签 密 算 
法 算出 密 文 并 返回 给 4 ; 若 1D, =1D 或 ID, 的 公 钥 被 蔡 换 过 ， 则 
的 1D, 部 分 私 钥 D, 和 秘密 值 ,然后 通过 公 钥 
再 请 求 H, 询问 ， 最 后 C 按照 签 密 算法 算 


用 4 《第 二 类 攻击 者 ) 攻击 解决 ECDLP 问题 , 即 已 知 (p,ap) ， 

可 求 “ 的 值 。 证 明 过 程 与 引 理 1 相似 。 

3.3 不 可 伪造 性 分 析 
引 理 3 攻击 者 为 4 的 不 可 伪造 性 。 在 随机 预言 模型 下 且 

ECDLP 难 解 的 情况 下 , 在 概率 多 项 式 时 间 内 存在 敌手 4 以 2 的 

优势 赢得 游戏 EUF-CMA ， 则 存在 一 个 区 分 者 C 以 


sec > (1 其】 的 概率 解决 ECDLP 困难 问题 。 


证 明 车 想 攻 破 本 文 的 CL-SC 方案 , 就 必须 存在 算法 C 利 


j 解 签 密 询问 ， 4 作出 解 签 密 询问 (1D,,1D,,0) 其 中 1D, 是 发 


1D, 是 接收 者 身份 : 若 ID, * 1D" ， 则 C 查询 表 三 ,的 
(1D,,R,,D,,h) » 表 Ln, 的 (m,T,R,,X,,h,) 和 Zr 的 


CD,,xos Xe) 、CD 2 ,计算 T=uP-Xh Rh-Phh ,计算 V， 


用 4 (第 一 类 攻击 者 ) 攻击 解决 ECDLP 问题 ， 即 已 知 (p,ap) ， 
可 求 a 的 值 。 


a) 初 始 化 。C 运 行 系统 参数 建立 算法 生成 
params ={p,4,G,P,Pyw,Hi,H,H} ， 并 将 主 密 钥 保存 ， 其 他 参数 发 
送 给 4。 其 中 Ps=aP? ， 用 4 模拟 系统 主 秘 钥 。 

b) 询 问 阶段 。 同 引 理 1。 

0) 伪 造 阶段 。 当 多 项 式 有 界 询问 结束 后 ， 4 提交 用 于 挑战 
的 两 个 用 户 身份 4D,,1D,) 和 对 某 一 明文 m 的 有 效 签 密 
0=(c,hww) ,着 1D, #1D' 则 终止 ;否则 通过 分 又 引 理 镶 , 重 放 本 询 
问 可 得 两 个 有 效 的 签 密 (c,hww) 和 (cp) 。 并 上 且 w =t1+xh+Dihs， 
所 以 可 以 解 得 


u=t+xh+Dh, , D=xn+a:H(D,R) ， 
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(CD/ 一 
HUD,R) 


若 4 对 也 进行 


询 。 么 未 对 1D, 进行 私 钥 询问 的 概率 至 少 为 |- 多 )”， 


四 一 让 


了 分 私 钥 询 问 ， 


进而 C 成 功 解决 了 ECDLP 问题 。 


过 部 分 私 钥 询问 或 ID, z 1D' 则 游戏 终止 。 假 
设 4 在 多 项 式 时 间 内 至 多 进行 gw 次 音 


4 次 三 碍 


pp 


4 选择 


1D, =1D" 作为 挑战 用 户 的 概率 为 J ， 则 c 成 功 解决 ECDLP 的 


概率 为 Succ Eco ABSA ， 

引 理 4 攻击 者 为 4 的 不 可 伪造 性 
ECDLP 难 解 的 情况 下 ,在 概率 多 项 式 时 
优势 赢得 游戏 EUF-CMA ， 


毕 。 


mm 


ChinaXiv 合 


证 
Fa 
陈 ， 虹 ， 等 ; 可 证 安全 的 无 对 迁 算 的 无 证书 符 密 方案 


案 面 临 主 密 钥 泄露 的 危险 , 并 且 该 方案 不 能 抵抗 4 的 伪造 攻击 
和 4 公 钥 蔡 换 的 机 密 性 攻击 。 在 文献 [16，17] 中 详细 描述 对 文 
献 [14] 的 攻击 方法 ， 在 此 不 做 赣 述 。 因 此 本 文 方案 比 文献 [13， 
14] 中 的 方案 更 加 安全 。 


。 在 随机 预言 模型 下 


Suecfoe> 5 人 -办 六 的 概率 解决 ECD 


间 内 存在 敌手 和 以。 的 
则 存在 一 个 区 分 者 c 以 


LP 困难 问题 。 


证 明 ” 若 想 攻破 本 文 的 CL-SC 方案 , 就 必须 存在 算法 C 利 


一 


] 4 《第 二 类 攻击 者 ) 攻击 解决 ECDLP 问题 ， 


a 


J 求 a 的 值 。 证 明 过 程 与 引 理 三 相似 。 


4 ”性 能 分 析 


本 文 提 出 的 新 的 CL-SC 方案 无 须 使 / 


数 运算 ， 


阶段 使 用 


即 已 知 (p,ap) ， 


j 双 线性 对 运算 和 指 


在 签 密 阶 段 使 用 6 次 点 乘 运算 ， 分 别 为 了 = 万 P， 


=t+x4 有 ++Dih，K=x4-X。， Ks=(Rs+Psh):D,， 在 解答 密 
8 次 点 乘 运 算 ， 分别 为 7 =uP-X4h-R- 有 -Ps hhh ， 
Ve=H(X x, (BR + Py Do) 。 
下 面 将 从 计算 效率 、 正 确 性 、 机 密 性 和 不 可 否认 性 几 个 方 
面 来 对 方案 进行 性 能 分 析 。 将 本 文 所 提出 的 签 密 方案 与 文献 


[11~~14] 进 行 对 比 ， 其 中 


FP 分 别 用 E、P、M 来 表示 指数 运算 ， 双 


线性 对 运算 和 点 乘 运算 。 分 析 结 果 如 表 1 所 示 。 
表 1 签 密 方案 性 能 比较 
方案 签 密 ”解答 密 。 正确 性 机 密 性 不 可 否认 性 
文献 [11] 2E+6M 2P+2E+5M V V VY 
文献 [12] 2P+5M 2P+5M ~ V/ V 
文献 [13] 1E+2M 6E+7M V x x 
文献 [14] ”5M 5M x x x 
本 文 方案 ”6M 8M V V V 


从 表 1 可 以 看 出 ,文献 [11] 的 方案 中 


指数 运算 和 点 


和 点 乘 运算 。 
所 消耗 的 运 
此 ， 


就 计算 效率 方面 ， 


使 用 了 双 线 性 对 运算 、 


乘 运 算 ， 文 献 [12] 的 方案 中 使 用 了 双 线 性 对 运算 


根据 Chen 等 人 05 研 究 表 
量 相当 于 执行 21 次 椭圆 


1 


文 


献 [13] 不 满足 机 密 性 和 不 可 否 


本 文 优 于 以 上 两 种 方案 
3 认 性 ， 不 能 抵抗 攻击 者 4 的 公 


明 ， 执 行 一 次 双 线性 对 
线 上 的 点 乘 运算 。 因 
。 在 安全 性 上 ， 


钥 蔡 换 攻 击 ， 即 攻击 者 4 通过 蔡 换 发 送 者 的 公 钥 ， 从 而 冒充 发 


送 者 伪造 
在 计算 签 密 密 自 


过 程 中 使 用 KGC 


a 文献 [1 和 中 的 方案 
生成 的 临时 秘密 值 ， 使 整个 方 


5 结束语 

本 文 以 汤 永 利 等 人 的 签名 方案 为 基础 ， 构 造 了 一 种 无 对 运 
算 的 CL-SC 方案 , 并 在 随机 预言 模型 下 证 明了 它 的 安全 性 。 在 
与 其 他 方案 对 比 后 ， 可 知 该 方案 的 性 能 更 优 。CL-SC 方案 计算 
开销 低 、 安 全 性 高 ， 在 电子 支付 、 无 线 传 感 设备 、 汽 车 自动 轰 
驶 等 方面 有 广泛 的 应 用 。 然 而 现 有 的 一 些 方案 仍 存 在 安全 性 差 、 
效率 低 等 问题 ， 因 此 如 何 构造 安全 高 效 的 方案 仍 是 值得 研究 的 
问题 。 
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